[发明专利]用于使用直接链路建立（DLS）协议在无线网络站点之间建立安全直接链路的方法、系统和可读介质

权利要求书

1、一种方法，包括：

在由接入点(AP)作为主机的无线局域网(WLAN)中的第一和第二 站点之间建立直接链路，所述直接链路包括新通信会话；

在所述AP处生成对于所述新通信会话唯一的会话密钥；

以只有所述第一和第二站点才能够获得所述会话密钥的方式，将所述 会话密钥的副本传送到所述第一和第二站点中的每一个；以及

为所述直接链路实现安全机制，以便产生采用根据所述会话密钥导出 的安全会话密钥的安全直接链路。

2、如权利要求1所述的方法，其中，所述接入点和所述第一和第二站 点中的每一个支持由IEEE 802.11e/D13标准草案所定义的服务质量机制， 并且所述直接链路包括使用直接链路建立(DLS)协议所建立的DLS链路。

3、如权利要求1所述的方法，还包括：

在所述第一站点和所述AP之间建立第一健壮安全网络关联(RSNA) 链路，所述第一RSNA链路的建立包括在所述第一站点和所述AP之间交 换第一密钥；以及

在所述第二站点和所述AP之间建立第二RSNA链路，所述第二RSNA 链路的建立包括在所述第二站点和所述AP之间交换第二密钥。

4、如权利要求1所述的方法，还包括：

生成第一和第二成对主密钥；

将所述第一和第二成对主密钥分别传送到所述第一和第二站点；

在所述第一站点和所述AP中的每一个处，根据所述第一成对主密钥导 出第一密钥加密密钥(KEK)；

在所述第二站点和所述AP中的每一个处，根据所述第二成对主密钥导 出第二KEK；

使用所述第一KEK对所述会话密钥的第一副本加密，并且将第一消息 从所述AP发送到所述第一站点，其中所述第一消息包含所述对称会话密钥 的加密的第一副本；

使用所述第二KEK对所述会话密钥的第二副本加密，并且将第二消息 从所述AP发送到所述第二站点，其中所述第二消息包含所述会话密钥的加 密的第二副本；

在所述第一站点处，采用所述第一KEK对所述第一消息解密，以便提 取所述会话密钥的所述第一副本；

在所述第二站点处，采用所述第二KEK对所述第一消息解密，以便提 取所述会话密钥的所述第二副本。

5、如权利要求4所述的方法，还包括：

将标识密钥封包算法的信息传送到所述第一和第二站点，其中，所述 密钥封包算法被用于对所述会话密钥的所述第一和第二副本加密；以及

在所述第一和第二站点处，采用所述密钥封包算法对加密的封包解密， 所述加密的封包包含所述会话密钥的所述第一和第二副本。

6、如权利要求1所述的方法，还包括：

生成第一和第二密钥确认密钥(KCK)；

将所述第一和第二KCK从所述AP分别传送到所述第一和第二站点；

将所述会话密钥的第一副本封装在包含第一安全字符串和所述第一安 全字符串的散列的第一消息中，所述第一安全字符串的所述散列采用所述 第一KCK；

将所述会话密钥的第二副本封装在包含第二安全字符串和所述第二安 全字符串的散列的第二消息中，所述第二安全字符串的所述散列采用所述 第二KCK；

将所述第一和第二消息从所述AP分别发送到所述第一和第二站点；

在所述第一站点处，通过使用所述第一KCK对所述第一安全字符串执 行散列并且将该结果与包含在所述第一消息中的所述第一安全字符串的所 述散列进行比较，来采用所述第一KCK对所述第一消息鉴权；以及

在所述第二站点处，通过使用所述第二KCK对所述第二安全字符串执 行散列并且将该结果与包含在所述第二消息中的所述第二安全字符串的所 述散列进行比较，来采用所述第二KCK对所述第二消息鉴权。